Une escroquerie par empoisonnement d’adresse entraîne la perte de 50 millions de dollars en USDT
Un utilisateur de crypto-monnaie a perdu 50 millions de dollars en USDT après avoir été victime d’une escroquerie par empoisonnement d’adresse, dans le cadre d’un vaste exploit on-chain, rapporte TopTribune.
La surveillance du vol, détectée par la société de sécurité Web3 Antivirus, a révélé que la victime avait envoyé une transaction test de 50 dollars pour confirmer l’adresse de destination avant de transférer le reste des fonds. En quelques minutes, un escroc a créé une adresse de portefeuille très similaire à celle de destination, correspondant aux premiers et derniers caractères, en sachant que la plupart des portefeuilles abrègent les adresses et n’affichent que les préfixes et suffixes.
L’escroc a ensuite envoyé à la victime une petite somme pour empoisonner son historique de transactions. En croyant que l’adresse de destination était légitime, la victime a copié l’adresse à partir de son historique et a finalement envoyé 49 999 950 USDT à l’adresse de l’escroc.
Ces petites transactions de « poussière » sont souvent envoyées à des adresses avec de gros avoirs, empoisonnant les historiques de transactions pour piéger les utilisateurs dans des erreurs de copier-coller, comme c’est le cas ici. Les bots réalisant ces transactions tentent d’atteindre un large public, espérant réussir, ce qu’ils ont accompli dans ce cas.
Les données de la blockchain montrent que les fonds volés ont ensuite été échangés contre de l’éther et déplacés à travers plusieurs portefeuilles. Plusieurs adresses impliquées ont depuis interagi avec Tornado Cash, un mélangeur de crypto-monnaies sanctionné, dans une tentative d’obscurcir la trace des transactions.
En réponse, la victime a publié un message on-chain exigeant le retour de 98 % des fonds volés dans les 48 heures. Ce message, accompagné de menaces juridiques, offrait à l’attaquant un million de dollars en récompense pour le retour intégral des actifs.
Le message avertit que tout manquement à cette exigence entraînera une escalade légale et des charges criminelles.
« C’est votre dernière chance de résoudre cette affaire pacifiquement », a écrit la victime dans le message. « Si vous ne vous conformez pas, nous porterons l’affaire devant les autorités judiciaires internationales. »
Les exploits par empoisonnement d’adresse ne présentent aucune vulnérabilité dans le code ou la cryptographie, mais tirent plutôt parti des habitudes des utilisateurs, notamment la dépendance à l’appariement partiel des adresses et le copier-coller à partir de l’historique des transactions.
